트로이목마
트로이목마(Trojan Horse)는 사전적 정의로 정상 파일로 위장한 악성코드이다. 좀 더 명확하게 정의하자면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 악성코드이다. 트로이목마는 그리스 신화에 나오는 트로이목마와 성격이 같다고 할 수 있다. 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이목마 악성코드 또한 정상 파일로 위장한 체 공격용 악성코드를 숨김으로써 견고한 보안 검열을 뚫는다.
개요
시초
최초의 트로이목나는 애니멀(Anlmal)로 불리니 컴퓨터 프로그램이라는 것이 중론이다. 애니멀은 유니박(Univac) 컴퓨터용으로 1974년 존 워커가 만들었으며 "20개의 질문"을 통해 사용자가 좋아하는 동물을 알아맞히는 프로그램이다. 실행 과정에서 영리한 머신러닝 기법을 사용해 질문을 개선한다. 워커에 따르면, 애니멀이 유니박 사용자들 사이에서 인기를 끌면서 복사본을 요청하는 사람이 늘어나자 컴퓨터 네트워킹이 흔치 않았던 당시 워커는 복사본 요청에 응대하는데 많은 시간을 소비하게 됐다. 결국 워커는 퍼베이드(Pervade)라는 서브루틴을 만들었다. 퍼베이드는 사용자가 애니멀의 질문에 답하는 사이 사용자가 액세스할 수 있는 아무 디렉토리나 찾아 그 디렉토리에 애니멀의 복사본을 저장했다. 사실 이런 디렉토리의 상당수는 여러 사무실에서 곡ㅇ유하는 릴 방식의 테이프에 위치했으므로 트로이목마, 즉 퍼베이드는 이 경로를 타고 전파됐다. 워커는 애니멀이 "선량한 프로그램"이며 단순히 스스로를 여기저기 복사했을 뿐 아무런 피해도 입히지 않았다고 주장한다. 덕분에 누가 프로그램을 요청하면 '이미 당신 시스템에 애니멀이 있을 것'이라고 알려주는 것으로 이야기를 끝낼 수 있었다.
유형
침입 방법에 따른 분류
- 백도어 트로이목마(Backdoor Trojans) : 백도어 트로이목마는 컴퓨터의 방어망에 해커가 침투할 수 있는 구멍을 뚫는다.
- 다운로더 트로이목마(Downloader Trojans) : 다운로더 트로이목마는 해커 사이트에서 더 악의적인 코드를 다운로드해 컴퓨터에 대한 장악력을 더 확대한다.
- 루트킷 트로이목마(Rootkit Trojans) : 루트킷 트로이목마는 다른 공격자가 이용할 수 있는 숨겨진 해킹 툴킷을 설치한다.
침입 목적에 따른 분류
- 메일파인더(Mailfinders) : 메일파인더는 사용자의 주소록을 훑어 스팸에 이용할 이메일 주소를 확보한다.
- DDoS 트로이목마(DDoS Trojans) : DDoS 트로이목마는 컴퓨터를 탈취해 좀비화해서 다른 공격 목표에 대한 DDoS 공격에 이용한다.
- 뱅킹 트로이목마(Banking Trojans) : 뱅킹 트로이목마는 금융 로그인 정보를 훔친다.
- 랜섬웨어 트로이목마(Ransomwwawre Trojans) : 랜섬웨어 트로이목마는 파일을 암호화한 다음 복원해주는 대가로 비트코인 몸값을 요구한다.
특징
- 목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이목마로 '스턱스넷(Stuxnet)'이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 앙ㄶ는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다. 2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 중단되었다.
- 보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로이 목마 악성코드를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이목마에서 주로 발견되었다. 대부분의 악성코드 분석은 가상화 시스템 기반에 악성코드를 분석하는데, 이유는 분석용 기기가 악성코드에 감염되게 하지 않기 위해서이다. 참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이 목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.
각주
참고자료
- 유성민 IT칼럼니스트, 〈은닉해서 무서운 트롤이 목마〉, 《사이언스타임즈》, 2018-02-14